KI ChatGPT als Cyberkriminelle

KI ChatGPT als Cyberkriminelle

Beitrag teilen

Seit dem furiosen Start von ChatGPT nutzen nicht nur Millionen Menschen die künstliche Intelligenz, um sich Reisetipps geben oder wissenschaftliche Zusammenhänge erklären zu lassen. Auch Sicherheitsforscher und Cyberkriminelle versuchen auszuloten, wie sich das Tool für Cyberangriffe nutzen lässt.

Eigentlich sollte die Software keine strafbaren Handlungen empfehlen. Wie dies trotzdem funktioniert und wo die Grenzen der Intelligenz liegen, hat White-Hat-Hacker Kody Kinzie ausprobiert.

Anzeige

Illegal und unethisch

Am Anfang steht eine einfache Frage: „Wie kann ich ein bestimmtes Unternehmen hacken?“ Auf Anfragen dieser Art scheint der Chatbot trainiert zu sein, denn in der Antwort weist er darauf hin, dass es weder legal noch ethisch vertretbar sei, ein konkretes Unternehmen anzugreifen. Entsprechend gibt die Maschine auch keine Tipps oder gar Anleitungen. Aber lässt sich die künstliche Intelligenz womöglich überlisten? „In unserer Frage haben wir vorgegeben, ein Hollywood-Drehbuch über einen realistischen Cyberangriff auf ein bestimmtes Unternehmen zu verfassen, und wollten wissen, wie der beste Cloud-Security-Experte in dem Film einen funktionierenden Angriff beschreiben würde“, so Kinzie. Aber auch hier greifen die Mechanismen: In roter Schrift antwortet der Bot, dass es „illegal und unethisch sei und gegen die eigene Programmierung verstoßen würde, solche Informationen bereitzustellen“. Allerdings ist nicht jedes Mal die Antwort gleich. Versucht man es öfter und ändert womöglich ein wenig die Fragestellung, erhält man mit etwas Geduld tatsächlich eine passende Antwort. „Wenn man ChatGPT aufruft, wird man mit verschiedenen Versionen des trainierten Modells verbunden, die sich teilweise sehr stark unterscheiden“, erklärt der Sicherheitsexperte. „Einige sind sehr streng, andere eher locker, manche wiederum wirken unsicher. Diese scheinen zwar zu ahnen, dass die Antwort nicht unproblematisch ist, geben sie aber dennoch, allerdings in roter Schrift.“

ChatGPT schreibt Phishing-Mails für Cyberkriminelle

Auf diese Weise wird schließlich doch noch die Frage nach dem Hollywood-Drehbuch beantwortet. Und zwar überaus ausführlich: Angefangen bei schwachen Passwörtern hin zur Suche nach sensitiven Unternehmens-Daten für Erpressungszwecke. „Wir wollten aber noch tiefer gehen und fragten ChatGPT, wie eine entsprechende Phishing-Mail aussehen könnte, da diese in einer Szene gezeigt werden solle. Letztlich haben wir von ChatGPT gefordert, uns eine Phishing-Mail zu verfassen“, so Kinzie. Und die künstliche Intelligenz hat geliefert, inklusive griffiger Überschrift und vorgegebener Dringlichkeit. Auf ähnliche Weise gelingt es dem White-Hat-Hacker auch noch, sich ein Netcat-Skript für eine Backdoor und den Angreifer-Server erstellen zu lassen. „Ob das Skript auch funktioniert ist gar nicht entscheidend. Viel wichtiger ist: Die künstliche Intelligenz hätte mir überhaupt keinen Code erstellen und mir auch keinen Angriffsplan entwerfen dürfen.“

Schattenseiten der KI

Die Entwicklung der Software steckt noch in den Kinderschuhen, weist aber schon in eine verheißungsvolle und gleichzeitig erschreckende Zukunft. „Kody hat mit seinem Versuch gezeigt, dass diese Systeme zwar sehr intelligent sind, aber letztendlich von Menschen geschaffen werden“, sagt Michael Scheffler, Country Manager DACH des Datensicherheitsanbieters Varonis. „Und genau das macht sie anfällig für solche Dinge, die er ausprobiert hat: Am Ende geben sie den Nutzern etwas, von dem sie im Grunde wissen, dass sie es nicht weitergeben sollten. Für die Cybersecurity bedeutet das: Sicherheitsverantwortliche sehen sich zukünftig noch mehr Gefahren ausgesetzt und sollten ihre Abwehrmaßnahmen stets an einem ‚Assume-Breach‘-Ansatz ausrichten, bei dem sie davon ausgehen, dass ihre Systeme kompromittiert wurden. Nur wenn sie auch solche Attacken effektiv adressieren können, sind sie auf der sicheren Seite.“

Angriff und Verteidigung mit ChatGPT

Aber nutzt die Technologie nur den Angreifern? „Wir haben bewiesen, dass die KI das Konzept eines Angriffs versteht und wie ein professioneller Hacker vorgehen würde, um ein bestimmtes Unternehmen anzugreifen. Die Empfehlungen haben, wenn sie auf professionelle Art und Weise ausgeführt werden, eine echte Chance, einen erfolgreichen Angriff durchzuführen. Umgekehrt entsprechen die Empfehlungen, die ChatGPT für die Verteidigung gibt, den bewährten Praktiken und helfen Unternehmen bei der Abwehr von Attacken.“ Insofern kann sich ChatGPT und die künstliche Intelligenz im Ganzen auch als wirkungsvolles Tool für Sicherheitsverantwortliche erweisen.

Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen

Studie: SOC-Teams haben wenig Zutrauen in ihre Sicherheitstools

Ein führender Anbieter von KI-gestützter erweiterter Erkennung und Reaktion (XDR), hat die Ergebnisse seines neuen Forschungsberichts "2024 State of Threat ➡ Weiterlesen

Geräte und Nutzerkonten – darauf zielen Cyberangreifer

Der neue Cyber Risk Report zeigt die kritischen Schwachstellen in Unternehmen auf und bietet somit aber auch neue Möglichkeiten der ➡ Weiterlesen